在之前的部落格中,已經按照标準部署進行了配置,基本上标準的部署已經完成,但是在IT環境中,細節決定成敗,在我們通過Web進行通路RemoteApp程式時候,總會有一些警告和阻攔,這些問題雖然不影響到使用者的使用,但是這影響到在使用過程中的安全性,解決這些問題的方法就是證書。
首先我們要解決的問題就是,當我們登入到RDWeb伺服器進行通路時,總是提示“此網站的安全證書存在問題”
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317917TR6c.jpg" target="_blank"></a>
其次,主要解決的問題是,當啟動其中的一個RemoteApp應用程式時候,總是彈出“網站要求運作RemoteApp程式。無法識别此RemoteApp程式釋出者”
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317918lNqi.jpg" target="_blank"></a>
以上的2個問題都是可以通過證書伺服器來進行解決,配置好證書問題,這2個警告就可以消除,在本次部落格中,主要完成下面3個方面:
1、 安裝CA憑證伺服器
2、 設定Web安全通路
3、 信任remoteapp釋出者
在此次配置中,使用的伺服器情況如下:
伺服器名稱
作業系統
IP設定
功能
AD-DC.mabofeng.com
Windows Server 2012 R2
192.168.1.100
域控制器
CA憑證伺服器
RD-CB.mabofeng.com
192.168.1.201
遠端桌面連接配接代理
RD-WA.mabofeng.com
192.168.1.150
遠端桌面Web通路
RD-SH.mabofeng.com
192.168.1.170
遠端桌面會話主機
RD-CC.mabofeng.com
Windows 8.1
192.168.1.99
用戶端計算機
1、在AD-DC.mabofeng.com伺服器中,在域控伺服器上安裝證書伺服器,在伺服器管理器中,點選管理,在彈出的菜單中選擇“添加角色和功能”
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179207RGU.jpg" target="_blank"></a>
2、在添加角色和功能向導中“開始之前”頁面中,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317922hXtj.jpg" target="_blank"></a>
3、在選擇安裝類型頁面中,選擇基于角色或者基于功能的安裝,點選下一步
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317923Euy0.jpg" target="_blank"></a>
4、在“伺服器選擇”頁面中,選擇要安裝角色和功能的伺服器或虛拟硬碟,選擇“從伺服器池中選擇伺服器”然後選擇本機,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317925SkCA.jpg" target="_blank"></a>
5、在“選擇伺服器角色”界面中,選擇Active Directory證書服務,點選下一步。此時,我們将Active Directory域服務和DNS伺服器同時安裝在了同一台計算機中,如果伺服器資源富裕,建議單獨部署各個功能元件,并設定Active Directory輔域。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317926wT1S.jpg" target="_blank"></a>
6、在“選擇功能”頁面中,不選擇任何功能元件,直接點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317928tSAt.jpg" target="_blank"></a>
7、接下來就進入了“Active Directory證書服務”的配置頁面,在配置向導中點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179305aTd.jpg" target="_blank"></a>
8、在“選擇角色服務”頁面中,選擇Active Directory證書服務的角色服務,這裡選擇“證書頒發機構”和“證書頒發機構Web注冊”,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317931EMG4.jpg" target="_blank"></a>
9、當我們勾選“證書頒發機構Web注冊”時,同時需要添加Web伺服器(IIS),在添加證書頒發機構Web注冊所需的功能頁面中,顯示了要配置iis的功能元件,這裡點選“添加功能”。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317933zLee.png" target="_blank"></a>
10、接下來就是配置Web伺服器角色(IIS),在Web伺服器角色(IIS)頁面中,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317935kdHA.jpg" target="_blank"></a>
11、在“角色服務”頁面中,為web伺服器(IIS)選擇要安裝的角色服務,預設基本選項,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317936SExz.jpg" target="_blank"></a>
12、在“确認安裝所選内容”頁面中,确認要在所選伺服器上安裝的角色、角色服務或功能,勾選“如果需要。自動重新啟動目标伺服器”最後點選安裝。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317938OjhC.jpg" target="_blank"></a>
等待一段時間後,CA憑證伺服器就安裝完成了,安裝階段的工作就完成了,但是要使用CA憑證伺服器就必須配置一個企業CA憑證。接下來就來配置業CA憑證。
1、在AD CS配置向導中,憑據界面中,指定憑據以配置角色服務,預設是域管理者,如需要進行更改使用者,可以點選“更改”,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317940FcLC.jpg" target="_blank"></a>
2、在“角色服務”頁面中,選擇要配置的角色服務,點選“證書頒發機構”和“證書頒發機構web注冊”,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317941yf8g.jpg" target="_blank"></a>
3、在“設定類型”頁面中,指定CA的設定類型,企業證書頒發機構分為2種,一種是企業CA,另一種是獨立CA,使用企業CA的使用者要求必須是域成員,并且通常處于練級狀态以頒發證書或證書政策,而獨立的CA一般是非域環境,獨立的CA不需要AD DS,并且可以在沒有網絡連接配接的情況下使用,一般是指第三方的CA憑證服務。這裡選擇企業CA,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179431XIq.jpg" target="_blank"></a>
4、在CA類型頁面中,指點CA類型,在安裝證書伺服器時,将建立或擴充公鑰基礎結構層次結構,根CA位于PKI層次結構的頂部,頒發其自己的自簽名證書,從屬CA從PKI層次結構中位于其上方的CA接收證書。這裡選擇根CA,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317944musL.jpg" target="_blank"></a>
5、在私鑰頁面中,指定私鑰的類型,可以使用現有的私鑰,也可以是建立新的私鑰,這裡選擇建立新的私鑰,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317946ETAC.jpg" target="_blank"></a>
6、在CA加密頁面中,選擇加密的選項,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317947zG42.jpg" target="_blank"></a>
7、在指定CA名稱頁面中,鍵入公用名稱以辨別該證書頒發機構,此名稱将添加到該CA頒發的所有證書者,CA的公用名稱是以證書伺服器的計算機名稱後面加-CA,可分辨名稱字尾值是自動生成的,不過可以對其進行修改,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317949sPbZ.jpg" target="_blank"></a>
8、在“有效期”界面中,選擇為此證書頒發機構CA生成的證書有效期,預設時間為5年,以配置完成時間為起始,設定完成後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317950iT09.jpg" target="_blank"></a>
9、在CA資料庫頁面中,指定證書資料庫的位置和證書伺服器日志的位置,預設位址為C:/Windows/System32檔案夾中,設定完成後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317952QRI7.jpg" target="_blank"></a>
10、在确認頁面中,确認配置的角色、角色服務或功能,然後點選配置。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317954bEqG.jpg" target="_blank"></a>
11、在配置進度頁面中,正在配置角色服務,等待一段時間後,即可配置完成。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317955DQsV.jpg" target="_blank"></a>
12、在結果頁面中,成功配置證書頒發機構和證書頒發機構Web注冊,至此,證書的安裝和配置工作就全面完成了,接下來就是配置證書模版。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317956K8lt.jpg" target="_blank"></a>
接下來主要是配置證書模版,由于一般企業中的證書伺服器是給域中所有的計算機中使用,域證書伺服器中預設包含了很多證書模版,為了保險和安全,建議手動建立一個證書模版,可以專門為RD伺服器使用,由于我們是頒發公用的證書,是以對模版也要進行簡單的設定。
1、在伺服器管理器中,點選工具,在彈出的工具菜單中,選擇證書頒發機構,在證書頒發機構頁面中,右鍵選擇證書模版,在彈出的菜單中選擇管理。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317958l9tU.jpg" target="_blank"></a>
2、在證書模版控制台中,找到計算機模版,然後右鍵點選計算機模版,在彈出的選項中選擇複制模版。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179597u6n.jpg" target="_blank"></a>
3、在建立模版的屬性中,首先選擇正常頁面,在正常頁面中,設定模版顯示名稱,這裡輸入RD計算機,并勾選在Active Directory中釋出證書。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317961i8T9.png" target="_blank"></a>
4、在使用這名稱的選項中,點選“在請求中提供”設定完成後,點選應用。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317962zly8.png" target="_blank"></a>
5、在“證書頒發機構”頁面中,右鍵選擇證書模版,在彈出的菜單中選擇建立-要頒發的證書模版。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317964MkBe.jpg" target="_blank"></a>
6、在啟用證書模版頁面中,找到之前設定的RD計算機,選中後點選确定。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317965SXgs.jpg" target="_blank"></a>
7、最後,在證書模版中,就可以看到設定的RD計算機模版,此時,證書方面的設定基本完成了。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317967ZKQ3.jpg" target="_blank"></a>
Web安全通路主要設定IIS,無論是采用什麼安裝模式,包括标準部署或者是快速部署,隻要安裝了遠端桌面Web通路Remote Desktop Web Access服務,那麼在伺服器中就會安裝IIS web伺服器,如果需要進行安全通路,其主要就是設定IIS,其實這部分不屬于RemoteApp設定範疇,應該屬于IIS的安全通路設定,是以對IIS較為熟悉的工程師,對這部分都會感到熟悉,下面就來設定Web的安全通路。
1、 在RD-WA.mabofeng.com伺服器中,在伺服器管理器中,點選工具,在彈出的工具菜單中,選擇IIS管理器,在IIS中的RD-WA伺服器中,輕按兩下選擇“證書伺服器”。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317969OeKE.jpg" target="_blank"></a>
2、在伺服器證書頁面中,右邊的操作欄目中,點選選擇建立域證書。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317970GRra.jpg" target="_blank"></a>
3、在建立證書向導中的可分辨名稱屬性中,輸入申請證書的必要資訊,這裡的通用名稱要輸入伺服器的完整域名,輸入完成後,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179725dmE.jpg" target="_blank"></a>
4、在建立證書向導中的聯機證書頒發機構頁面中,指定域内将對證書進行簽名的證書頒發機構,并指定一個好記的名稱以便于記憶,首先點選選擇,選擇域中的證書伺服器,然後設定一個名稱,點選完成。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317973WVc5.jpg" target="_blank"></a>
4、 當申請完成後,接下來我們進行網站443端口綁定,首先我們點開網站樹狀結構,右鍵選擇Default Web Site,在彈出的菜單中選擇“編輯綁定”。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317975yBMD.jpg" target="_blank"></a>
5、在網站綁定頁面中,選擇https,端口443,然後點選編輯。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317977WQLI.jpg" target="_blank"></a>
6、在“編輯網站綁定”頁面中,選擇SSL證書,點選選擇按鈕,選擇之前申請的證書,然後點選确定。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317978vbNG.png" target="_blank"></a>
7、為了簡單友善的進行通路,我們可以将IIS中預設的首頁,設定為RD Web通路的位址,是以我們可以設定預設首頁中的HTTP重定向。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317980TokC.jpg" target="_blank"></a>
8、在IIS首頁中的http重定向頁面中,勾選要求重定向到此目錄,并在文本框中填寫RD Web的位址,其位址為/RDWeb/Pages。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179818xcZ.jpg" target="_blank"></a>
9、設定完成後,在RD-CC.mabofeng.com的Windows 8.1作業系統中,打開IE浏覽器,輸入遠端桌面Web通路Remote Desktop Web Access伺服器的位址,https:// RD-WA.mabofeng.com/。此時我們就可以看到,可以安全的進行通路Remote Desktop Web Access,并且不會提示證書錯誤。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317983GD1u.jpg" target="_blank"></a>
信任RemoteApp釋出者就是解決當啟動其中的一個RemoteApp應用程式時候,總是彈出“網站要求運作RemoteApp程式,無法識别此RemoteApp程式釋出者”,如果配置了證書服務,就可以此類的問題。
1、以域管理者的身份登入到RD-SH.mabofeng.com 遠端桌面會話主機,然後在運作中輸入mmc。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317984JPTH.png" target="_blank"></a>
2、打開系統的控制台後,點選檔案-添加/删除管理單元。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317985yvp5.jpg" target="_blank"></a>
3、在計算機上為此控制台選擇證書并配置所選的單元組,點選添加。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_138431798770Qd.jpg" target="_blank"></a>
4、在證書管理單元界面中,選擇計算機賬戶,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317988ZXBR.jpg" target="_blank"></a>
5、在選擇計算機頁面中,選擇本地計算機(運作此控制台的計算機),然後點選完成。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317990nma0.jpg" target="_blank"></a>
6、在證書(本地計算機)頁面中,在個人證書裡,右鍵點選個人,在彈出的菜單中選擇所有任務-申請新證書。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179923t1d.jpg" target="_blank"></a>
7、在證書注冊頁面裡開始界面中,點選下一步,在申請之前,要確定能申請的伺服器能連接配接到證書伺服器,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384317993Dkfp.jpg" target="_blank"></a>
8、在證書注冊頁面裡選擇證書注冊政策界面中,注冊政策啟用基于預定義證書模版的證書注冊,可以點選屬性檢視域證書伺服器。然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_138431799515lf.jpg" target="_blank"></a>
9、選擇RD計算機證書模版,并點選黃色感歎号,“注冊此證書需要詳細資訊,單擊以配置設定。”
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843179969tHP.jpg" target="_blank"></a>
10、在證書屬性中的使用者界面中,在使用者名稱中,選擇公用名,并添加RD-SH.mabofeng.com遠端會話主機,在備用名稱中,選擇其他元件伺服器的名稱。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318001cwQ8.jpg" target="_blank"></a>
11、在證書屬性中的私鑰界面中,密鑰選項中設定私鑰的密鑰長度和導出選項,勾選“使私鑰可以導出”,設定完成後,點選應用。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318003qp80.jpg" target="_blank"></a>
12、設定證書屬性完成後,回到證書注冊界面中,點選注冊。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843180044Eom.jpg" target="_blank"></a>
13、在證書注冊裡證書安裝結果中,檢視證書申請的狀态,證書申請成功後,點選完成,退出證書注冊。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318006whgW.jpg" target="_blank"></a>
14、成功申請證書後,在個人-證書裡可以看到證書,這是右鍵選擇證書,在彈出的菜單中選擇所有任務-導出…。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843180079mYU.jpg" target="_blank"></a>
15、在“歡迎使用證書導出向導”中,點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318009we0g.jpg" target="_blank"></a>
16、在導出私鑰中,可以選擇将私鑰和證書一起導出,但是這裡我們隻需要導出私鑰即可,是以選擇“是,導出私鑰”。點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318011m88P.jpg" target="_blank"></a>
17、在證書導出向導中,選擇使用要導出的格式,選擇個人資訊交換-PKCS # 12(.PFX),并選擇導出所有擴充屬性,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318012Ahcj.jpg" target="_blank"></a>
18、在安全頁面中,需要設定導出私鑰的安全性,可以對使用者進行私鑰的權限設定,或者設定一個私鑰密碼,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318014jm5a.jpg" target="_blank"></a>
19、設定要導出私鑰的位址和名稱,然後點選下一步。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318015ULzn.jpg" target="_blank"></a>
20、最後,成功導出證書私鑰,點選完成,退出證書導出向導。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318017Gh2h.jpg" target="_blank"></a>
接着我們把這張證書分别複制到RD-SH,RD-CB,RD-WA伺服器上,在運作裡輸入MMC,選擇本地計算機帳戶證書,個人證書裡導入此證書。然後在各伺服器上用各自的管理控制台選擇此證書應用起來。
1、在其中的一台RD伺服器管理器中,選擇遠端桌面伺服器,點選概述,在部署概述中,點選任務,在下拉菜單中選擇“編輯部署屬性”
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318019kIbW.jpg" target="_blank"></a>
2、在配置部署裡證書頁面裡,遠端桌面服務部署要求使用證書進行伺服器身份驗證,單一登入以及建立安全連接配接,将之前的證書分别導入到這些角色中。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843180204wxn.jpg" target="_blank"></a>
3、點選選擇現有證書後,選擇之前導出的私鑰,并輸入正式的密碼,然後點選确定。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318022Mu2W.jpg" target="_blank"></a>
4、導入後,需要點選應用,每個證書都必須分别進行導入。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318023Ia99.jpg" target="_blank"></a>
5、導入後會顯示是否成功導入和證書的安全級别。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318025LxKb.jpg" target="_blank"></a>
6、之後可以拆開證書的詳細資訊,這裡要注意的是,要記住指紋的編号,在後面的域政策中會要求輸入認證的指紋資訊。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318027OEcG.jpg" target="_blank"></a>
7、當證書設定完成後,需要在域政策中信任這些證書所在伺服器的釋出者,首先我們以域管理者的形式登入到域控制器,在AD的組政策裡,右鍵單擊Default Domain Policy,選擇編輯。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318028YV0B.jpg" target="_blank"></a>
8、在Default Domain Policy中,定位到計算機配置\政策\管理模闆\Windows元件\遠端桌面服務\遠端桌面連接配接用戶端。輕按兩下指定表示受信任.rdp發行者的SA1證書指紋。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318030JWrE.jpg" target="_blank"></a>
9、在.rdp發行者的SA1證書指紋政策中點選啟用,把指紋複制進去,然後點選确定。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318031OZsK.jpg" target="_blank"></a>
10、将用于對RDP檔案進行數字簽名的證書的指紋添加到Default Domain Group Policy設定中,這一步是必需的,這樣使用者每次啟動RemoteApp程式時才不會出現受信任的發行者的警告對話框。完成後使用指令gpupdate /force強制跟新域政策。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_13843180339ywu.jpg" target="_blank"></a>
11、接下來我們就來進行下測試,在RD-CC.mabofeng.com,win8.1用戶端中點選應用後,會直接彈出運作視窗,不會彈出任何的警告,此時證書驗證成功。
<a href="http://mabofeng.blog.51cto.com/attachment/201311/13/2661587_1384318035iaOy.jpg" target="_blank"></a>
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)